Как отфильтровать доступ к API по домену?

Question

[Max Ba]

Парни, подскажите, как узнать, с какого сайта запрос?

$curl = curl_init('http://site.ru/api.php');
curl_setopt($curl, CURLOPT_POST, true);
curl_setopt($curl, CURLOPT_POSTFIELDS, $post);
$result = curl_exec($curl);
curl_close($curl);

site.ru/api.php
вот тут при обращении из вне переменная $_SERVER не содержит никаких данных о сайте, с которого сделали обращение. А нужно, отфильтровать. Без авторизации желательно, по названия домена.

Answer 1

[ixon]

Просто сравните константу $_SERVER['HTTP_HOST'] или $_SERVER['SERVER_NAME'] с строкой с нужным доменом.
Если же для вас принципиально реализовать это без SERVER, просто введите какой-нибудь секретный ключ, не обладая которым нельзя получить доступ к API.

Comments

[Max Ba]

В том то и дело, что переменная $_SERVER не содержит данных о сайте, с которого пришел POST запрос.

[ixon]

Макс Васильев, я понял. Поэтому написал вторую часть про секретный ключ. Просто добавляйте его к каждому запросу и проверяйте его наличае и правильность.

[Max Ba]

ixon, то есть, с того сайта, на котором вызывается CURL передать еще одну переменную POST с именем сайта?

[ixon]

Макс Васильев, не с именем, а с каким-то случайносгенерированным и заранее известным ключём.

[Max Ba]

ixon, понял, спасибо

Answer 2

[Андрей К]

Может CORS - это то, что Вам нужно?